{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
インド電子情報技術省(MeitY)は2025年11月14日、デジタル個人データ保護規則2025(以下、DPDP規則)を発表しました。その特有の順守要件や、日本の企業が対応する上で直面する可能性のある課題について解説します。
DPDP規則は、インド初の包括的なデータ保護法であるデジタル個人データ保護法2023(DPDP Act、以下DPDPA)の下位規則です。DPDPAは2023年8月にインド議会で制定されましたが、今回のDPDP規則を実施規則として、その内容がより明確になりました。DPDP規則はすでに2025年11月から公式官報で規則が通知され、部分的に施行されています。また、政府はインドデータ保護委員会(Data Protection Board of India)をDPDPAの執行機関として設置しました。
DPDP規則の実施スケジュールは図表1のとおりです。
図表1:DPDP規則によるDPDPAの段階的実施
ペナルティ
DPDPAは違反内容に応じて異なる罰則を定めており、データ保護委員会は最大250億ルピー(約430億円)の罰金を科す権限を持っています。
データ保護委員会はまた、違反したデータ受託者のオンライン商品やサービスへの公共アクセスを政府に制限するよう勧告することも可能です。
また、データ主体(Data Principal)にも義務が課され、DPDPA違反に対しては1万ルピー(約1万7千円)の罰金が科されることがあります。
日本の企業にとっての課題
インドのDPDPAは、データ主権、違反通知、DPO(データ保護責任者)の割り当てなどにおいてEU一般データ保護規則(GDPR)と類似しているとも言えます。一方でDPDPAに特有の概念や順守要件も多く存在するため、インドで事業展開する日本の企業は既存のプライバシー順守体制を精査し、抜本的な見直しを行う必要があります。
以下に、インドのDPDPAおよびDPDP規則に特有の要件と、日本の企業がこれらを順守する上で直面する可能性のある課題について、図表2に私たちの見解を述べていきます。
図表2:DPDPA特有の要件と日本企業における課題
テーマ |
要件 |
課題 |
| データ漏えい対応 | データ漏えいが発覚した場合、組織はデータ保護委員会に遅滞なく通知し、72時間以内に詳細な報告書を提出しなければならない。通知は「可能な限り速やかに」行う義務として位置づけられている。 | DPDPAではGDPRとは異なり、どの漏えいを報告すべきかについて明確な基準が定められていない。そのため、組織は幅広い漏えいシナリオに対応できるようインシデント対応計画を全面的に見直し、複数の規制当局との連携体制を整える必要がある。具体的には、CERT-In(Indian Computer Emergency Response Team)の要件への準拠、業界固有の規則の順守、影響を受ける個人への通知が求められる。これを実現するには、法務・技術・広報チームの緊密な連携に裏打ちされた強固なインシデント検知・評価体制の構築が不可欠である。 |
| 個人データ処理の通知 | 英語またはインドの公用語22言語のいずれかで記載されなければならない。 | 企業は、必須項目と任意項目を明確に区分し、それぞれの項目を個別の同意選択に紐づけることで、処理活動ごとに同意を分離する必要がある。これは、現在「正当な利益」や「契約上の必要性」といった法的根拠に依拠しているグローバル企業にとって特に大きな課題となる。これらの法的根拠は多くの法域で認められているが、DPDPAでは利用できない。 |
| 個人との契約とは明確に区別された独立した文書として作成されなければならない。 | ||
| データ受託者は、処理する個人データのカテゴリーおよび処理目的の詳細な一覧を提供しなければならない。 | ||
| データ主体との間に効率的なコミュニケーション手段を確立し、権利行使を支援しなければならない。 | 組織は、個人が同意の撤回やプライバシー権の行使、苦情の申し立てを簡便に行える、使いやすい仕組みを提供しなければならない。 | |
| データ主体の権利 | データ受託者は、権利行使の具体的な手続きおよび苦情対応の期限を開示しなければならない(これらは90日以内に対応する必要がある)。 | 本規則では、個人からのアクセス請求に対してデータ受託者がどの程度の情報を提供すべきかなど、一部の権利に関する重要な点が明確にされていない。 |
| データ主体は正式に代理人を指名することができ、当該代理人は本人の死亡または判断能力の喪失後もデータに関する権利を行使し続けることができる。 | この代理権制度はDPDPAおよび関連規則に特有のものである。組織は、データ主体の権利を取り扱う既存のプロセス(多くの場合、GDPRに準拠した仕組み)を更新し、この制度に対応・運用できる体制を構築する必要がある。 | |
| 検証可能な同意 | 障害のある者については、代理を行う後見人が、関連するインドの後見法に基づき正式に選任されていることを確認しなければならない。 | この規則の実務対応は困難である。なぜなら組織は、ヒンドゥー未成年者・後見法、後見人・被後見人法、ナショナル・トラスト法など、複数の複雑なインドの後見関連法に精通する必要があるためである。 |
| 国際データ移転 | 政府は、外国政府がアクセスし得るデータの海外移転に制限を課すことがある。重要データ受託者に分類される場合、個人データおよびトラフィックデータの国際移転が制限される可能性がある。 | グローバル企業にとってインドのデータ移転制限は、とりわけ政府による監視や法執行機関からのデータ開示要求に関して、外国の法的要件と抵触する場合がある。さらに、重要データ受託者は個人データおよび関連するトラフィックデータをインド国内のみで保管することを求められる場合があり、海外のサーバーに依存する大手テクノロジー企業にとって大きな課題となっている。 |
| 同意管理者(コンセントマネージャー) | DPDPAは「同意管理者(コンセントマネージャー)」という新たな役割を創設する。これはデータ保護委員会に登録された透明性のあるプラットフォームを運営し、個人の同意を管理する独立した組織である。このプラットフォームは、個人が複数のデータ受託者やサービスにわたって付与した同意を一元的に閲覧・管理・撤回できるハブとして機能する。 | 同意管理ツールの導入は必須要件ではないが、現時点では企業が対応すべき事項が不明確である。 また、すでにデータ受託者として事業を行っている組織は、利益相反の制約から同意管理サービスの運営が困難になる場合がある。同意管理に関する新たな持続可能なビジネスモデルの構築が求められ、場合によっては個人に対するサービス利用料の徴収を含め検討する必要がある。 |
| 重要データ受託者(SDF) | 中央政府またはデータ保護委員会は、処理される個人データの量や性質などの複数の要素を評価した上で、法人を重要データ受託者(SDF)に指定することがある。 | SDFに指定された組織は、より厳格な義務を負うこととなる。具体的には、年次のデータ保護影響評価および独立監査の実施、主要な調査結果の取締役会への報告が求められる。また、使用するアルゴリズムが適切に設計・検証され、個人の権利を保護するものであることを示す必要がある。これにより、アルゴリズムによる意思決定を中核サービスに組み込んでいる企業のアカウンタビリティが大幅に強化される。 |
| データおよびログの保持・削除 | 組織は個人データや関連するトラフィックデータ、処理ログを少なくとも1年間保持し、保存目的を明確にしなければならない。また重要データ受託者に分類されている場合は、最長3年間の保持が認められる。 | 組織はCERT-In、RBI(インド準備銀行)、SEBI(インド証券取引委員会)、IRDAI(インド保険規制開発庁)、the Companies Act(インド会社法)などの異なるログ保持期間を定めるさまざまな枠組みと、DPDPAの保持ルールとの整合性を確保しなければならない。 |
| 電子商取引プラットフォーム、オンラインゲーム仲介業者、ソーシャルメディアプラットフォームなどの特定の受託者は、ユーザーの活動や権利行使が3年間行われていない場合、データを消去しなければならない。また削除の48時間前にデータ主体へ通知する義務がある。 | これらの義務を果たすには、ユーザーの活動を追跡し、異なる保持期間を適用した上で適時に削除通知を送信できる高度なデータ・ログ管理システムが必要である。その実現には緻密なプロセスの自動化が不可欠となる。 |
まとめ
日本企業では、日本の個人情報保護法(APPI)やEUのGDPRへの対応実績は豊富にあることと思います。ですが上記の課題を踏まえると、インドのDPDPAおよび関連規則に準拠するためには、プライバシーコンプライアンスの体制全体を以下の観点から見直す必要があることが分かります。
- インシデント対応体制の見直し:インシデントの検出・評価、および取締役会への報告に関する厳格な規則に対応するため、既存の社内プロセスとシステムの見直しを行う
- ギャップ分析の実施:既存のプライバシーノーティス(通知)や情報伝達の仕組みについて網羅的なギャップ分析を行い、DPDPAの要件を満たすよう改善する
- データ主体の権利管理の見直し:新たに求められる権利への対応や、応答期限順守の効率的な実施に向けて、既存のデータ主体権利管理システムを改修する
- 準拠ポリシーの策定:DPDPAおよびその他の適用すべき法令に準拠した社内ポリシーを新たに策定する
今後のDPDPA本格稼働に向けて、企業には早めの対応が求められています。上に示した課題を踏まえ、専門家のアドバイスも活用しながら準備を進めていくことをお勧めします。
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{contentList.loadingText}}
{{filterContent.facetedTitle}}
{{contentList.dataService.numberHits}} {{contentList.dataService.numberHits == 1 ? 'result' : 'results'}}
{{contentList.loadingText}}
{{item.videoDuration}}
{{item.title}}
{{item.text}}
{{item.videoDuration}}
{{item.text}}
{{contentList.loadingText}}
